piwik no script img

taz zahl ich

Fehlende Sicherheit bei KrankenkasseDatenklau leicht gemacht

Patientendaten von Versicherten sind häufig nur unzureichend geschützt. Mit einem kleinen Trick kommen Unbefugte leicht heran.

Glück für Frau Schmidt, dass diese Karte nur ein Muster ist Bild: ap
Von Svenja Bergt

BERLIN taz | Es reicht schon ein geklautes Portemonnaie. Mit nur wenigen Informationen können Unbefugte persönliche Behandlungsdaten auf Webseiten von Krankenkassen einsehen. Das ist das Ergebnis eines Tests der Rheinischen Post. Ausreichend sind dafür Name, Versicherungsnummer und Geburtsdatum.

Vorteil für Betrüger: Bei der neuen Gesundheitskarte gilt die Versichertennummer lebenslang, nach einem Diebstahl lassen sich die Kartendaten also auch später noch missbrauchen.

Für den Test wurde eine Versuchsperson mit Name und Versicherungsnummer eines Redakteurs ausgestattet. Sie suchte sich das zugehörige Geburtsdatum in Internet und änderte telefonisch bei der Kasse die Adresse des Versicherungsnehmers. Auf diesem Weg lässt sich ein Sicherheitsmechanismus aushebeln, den mehrere Kassen nutzen: Um den Online-Zugriff zu aktivieren, schickt die Krankenkasse einen Freischaltcode per Post.

Der Code kommt per Post

Ist die Adresse erst einmal geändert, landet der Code allerdings beim Betrüger. Mit dem Zugriff lassen sich dann etwa Operationen, Krankenhausbesuche, Routineuntersuchungen einsehen. Und die Krankenkasse - in Testfall die Barmer GEK - schickte auch gleich eine neue Versicherungskarte an die vermeintlich neue Adresse. Das birgt weiteres Missbrauchspotenzial.

Die Krankenkasse kündigte als Reaktion darauf ein zusätzliches Sicherheitsseminar für ihre Kundenberater an. Darüber hinaus prüft sie laut Sprecher Athanasios Drougias die Einrichtung zusätzlicher Hürden für den Zugang zu den persönlichen Daten auf der Website, etwa die Einführung eines weiteren Passworts. Abgesehen davon hätten aber auch die Versicherten eine Sorgfaltspflicht.

"Das ist ein Scheunentor, das regelrecht dazu einlädt, sich an den Daten zu bedienen", kritisiert Padeluun vom Verein Digitalcourage. Er fordert, den Online-Zugriff auf die Daten auszusetzen, solange es kein "hinreichend sicheres" System gebe. Das könne etwa ein sogenanntes Opt-In-Verfahren sein, bei dem Versicherte mit Brief und Unterschrift die Teilnahme bestätigen und gleichzeitig über mögliche Risiken aufgeklärt werden.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Themen #Datenschutz #Gesundheit #Krankenkassen #Gesundheitsdaten
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema

Klage gegen Gesundheitskarte

Ein Foto ist okay

Die elektronische Gesundheitskarte verletzt nicht das Grundrecht auf informationelle Selbstbestimmung. Das hat das Bundessozialgericht entschieden.
Von Christian Rath

Aus für alte Krankenversicherungskarte

Elektronisch mit Ausnahmen

Die alte Krankenversichertenkarte verliert 2015 ihre Gültigkeit. Nicht in jedem Fall muss dann die neue Gesundheitskarte vorgelegt werden.
Von Heike Haarhoff

Kassen setzen Patienten unter Druck

Hopp, hopp, an die Arbeit!

Etliche Patienten fühlen sich von ihrer Krankenkasse beim Thema Krankengeld unter Druck gesetzt – durch regelmäßige Anrufe oder sehr intime Fragen.

10 Ausgaben für 10 Euro

Die Wochenzeitung mit taz-Blick

Unsere wochentaz bietet jeden Samstag Journalismus, der es nicht allen recht macht und Stimmen, die man woanders nicht hört. Jetzt zehn Wochen lang kennenlernen.
Jetzt bestellen

1 Kommentar

 / 

  • Diese #+$%*! "prüfen die Einrichtung zusätzlicher Hürden für den Zugang zu den persönlichen Daten" und weisen auf die "Sorgfaltspflicht des Versicherten" hin?!

    Bei sperrangelweitem Zugang für Hinz und Kunz auf Versichertendaten über das eigene Webfrontend? Das kann man schon nicht mehr mit blanker Frechheit oder reiner Dummheit erklären, das scheint eher ein explosives Ärosol aus beiden Komponenten und großzügig verströmter Heissluft zu sein.

    Ich halte es anhand solcher Statements für mehr als fragwürdig, dass diese Leute fähig oder auch nur willens sind, die Sicherheit jener initimen Daten, mit denen man sie unverantworlicherweise herumhantieren lässt zu garantieren. IMHO fehlt es da vollkommen an rudimentärem Sachverstand und Sicherheitsbewusstsein.

meistkommentiert

1

Nahost-Konflikt

Alternative Narrative

2

Nach der Gewalt in Amsterdam

Eine Stadt in Aufruhr

3

IStGH erlässt Haftbefehl gegen Netanjahu

Wanted wegen mutmaßlicher Kriegsverbrechen

4

Die Wahrheit

Der erste Schnee

5

+++ Nachrichten im Nahost-Krieg +++

IStGH erlässt Haftbefehl gegen Netanjahu und Hamas-Anführer

6

Putins Atomdrohungen

Angst auf allen Seiten